소프트웨어 업데이트 방법
동일한 주요 릴리스 내 업데이트
To update within the same major release (e.g. from R4.7.1 to R4.8.3), only the bqn package needs to be updated (e.g. bqn-R4.8.3.bpkg). The update consists of two steps: first it is installed and then it is activated. The activation involves a traffic interruption of some seconds, so it is advised to carry it out at times of low throughput.
설치는 관리->소프트웨어에서 ⁝ 메뉴 아이콘을 클릭하고 설치.. .를 선택하면 패키지를 선택할 수 있는 파일 선택기가 나타나고, 해당 패키지가 BQN 서버로 전송되어 설치됩니다.
활성화는 관리->소프트웨어에서 활성화할 패키지의 ◀ 화살표 아이콘(아래 그림에서 빨간색으로 강조 표시됨)을 클릭하여 수행합니다.
이 작업을 수행하면 몇 초 후에 BQN에 다시 로그인해야 하며, 이 시간 동안 트래픽 흐름이 중단됩니다.
주요 릴리스 전반의 업데이트
새 주요 릴리즈로 업그레이드하기 전에 지원팀(bequant.com)에 문의하여 자세한 지침을 확인하세요.
새로운 주요 릴리스(예: R3에서 R4로)로 마이그레이션하려면 bqn 패키지 외에 플랫폼 패키지(bqnos, 커널, bqnkernel, 리눅스 및 gui)를 업데이트해야 합니다. 플랫폼 패키지를 활성화하려면 재부팅해야 합니다. 프로세스는 다음과 같습니다:
1. 새 bqnos를 설치하고 1분간 기다린 후 재부팅합니다.
2. 2. 커널과 bqn커널(이 순서대로 함께)을 설치하고 1분간 기다린 후 재부팅합니다.
3. 리눅스를 설치하고 1분간 기다린 후 재부팅합니다.
4. GUI 설치 및 재부팅
5. bqn 설치 및 재로드
서버 재부팅 시 서비스 손실이 발생할 수 있으므로 서버를 트래픽 경로에서 벗어난 곳에 배치해야 합니다.
마지막으로, 이전 구성을 새 릴리즈로 마이그레이션해야 할 수 있습니다. 최소한 SSH를 통해 BQN 서버에 액세스하고 명령을 실행하는 더 이상 사용되지 않는 명령을 제거해야 합니다:
진단을 생성하는 방법
Bequant 지원팀에 요청하면 관리->진단에서 진단 파일을 생성할 수 있습니다.
파일은 사용 중인 브라우저의 다운로드 폴더에 저장됩니다.
구성을 백업하는 방법
You can save the server configuration to a local file in Administration->Backup->Save.
이전에 저장한 백업을 로드하려면 관리->백업->로드로 이동 합니다.
세 가지 옵션이 있습니다:
- 다른 서버에서 백업을 로드합니다. 이 옵션의 목적은 동일한 정책 및 API 클라이언트를 사용하는 여러 서버에 공통 구성을 가져오는 것입니다. 이 옵션을 사용하면 구성의 일반 섹션만 로드됩니다. 서버별 부분(관리 인터페이스 구성, 데이터 wires, 라이선스 및 API BQN 자체 IP 주소)은 그대로 유지됩니다.
- 이 서버에서 백업을 복원합니다. 이 옵션은 이 서버 구성의 이전 상태를 복구하는 데 사용됩니다. 이 옵션에서는 구성이 백업 구성으로 완전히 대체되므로 이 서버에서 구성을 가져오는 것이 중요하며, 그렇지 않으면 서버에 연결할 수 없게 될 수 있습니다.
- 구성 파일을 이 서버 구성과 병합합니다. 이 옵션은 정책 규칙 집합과 같은 일부 구성 섹션만 옮길 때 유용합니다. 이 옵션에서는 파일의 전체 구성이 현재 구성에 추가됩니다. 충돌을 피하기 위해 일반 구성 섹션과 그 중 꼭 필요한 구성 섹션만 병합 파일에 포함시켜야 합니다. 예를 들어 구성에는 관리 기본 게이트웨이가 하나만 있을 수 있으므로 기본 게이트웨이가 포함된 파일을 병합하면 이전 게이트웨이가 대체됩니다.
로드 옵션을 선택하고 파일 선택을 누릅니다. 로드할 파일을 선택하고 열기를 누릅니다. 대화 상자가 작업 결과를 알려줍니다(정상 또는 오류 발견 시). 오류가 있는 경우 서버 구성이 수정되지 않습니다(로드 작업이 원자적으로 수행됨).
SNMP를 통한 모니터링
BQN은 다음과 같은 SNMP v2c 알람(트랩)을 지원합니다:
- Cpu: 과도한 서버 CPU 부하.
- Memory-dpdk: DPDK 패킷 처리에서 과도한 메모리 사용.
- 메모리 풀: BQN 일반 메모리 풀의 과도한 메모리 사용량.
- 디스크: 파일 시스템이 꽉 찼거나 거의 찼습니다.
- 프로세스: 일부 필수 프로세스가 중단되었습니다.
- 트래픽 업링크: 업링크 방향의 트래픽이 없습니다.
- 트래픽-다운링크: 다운링크 방향의 트래픽이 없습니다.
- 트래픽 낮음: 트래픽이 적습니다(업링크 및 다운링크 방향 합산).
- 트래픽 반전: 업링크 처리량이 다운링크 처리량보다 높은 경우( wires 중 일부는 액세스 포트가 인터넷에 연결되어 있고 그 반대의 경우도 있기 때문일 수 있음).
- Wirewires 구성되지 않았거나 일부 wires 다운됨.
- 라이선스 사용 가능: 정의된 라이선스가 없거나 라이선스가 유효하지 않습니다.
- 라이선스 만료: 라이선스가 만료되었습니다.
- 라이선스 사용량: 서버 처리량이 라이선스 용량을 초과합니다.
- 시간: NTP 서버가 구성되어 있지 않거나 연결할 수 없습니다.
- ↪CF_200D↩Bqnmgr: BQN 원격 관리 시스템에 연결할 수 없습니다.
이러한 알람은 BQN 홈페이지에 표시되는 대시보드와 관련이 있습니다. 자세한 내용은 문제 해결 섹션을 참조하세요.
SNMP 에이전트를 구성하려면 관리->SNMP로 이동합니다:
BQN SNMP는 일부 시스템 통계도 내보냅니다. BQN MIB 파일을 받으려면 여기를 클릭하세요.
트래픽 캡처
BQN은 모든 네트워크 인터페이스에서 pcap 형식의 트래픽 캡처를 가져오는 데 사용할 수 있습니다. 이러한 캡처는 다른 네트워크 노드에서 직접 트래픽 캡처를 얻기 어려운 경우가 많기 때문에 BQN 서버뿐만 아니라 네트워크의 다른 곳에서도 문제를 해결하는 데 사용할 수 있습니다.
트래픽 캡처는 인터페이스 이름 옆에 돋보기 아이콘으로 표시됩니다. 다음 페이지에서 사용할 수 있습니다:
- 상태-> 인터페이스-> 링크상태
- 상태-> 인터페이스-> 데이터 Wires
아이콘을 클릭하면 캡처 옵션이 있는 대화 상자가 표시됩니다:
필터 필드에는 tcpdump 필터 형식을 사용할 수 있습니다. If는 선택 사항이며 비어 있으면 모든 트래픽이 캡처됩니다. 몇 가지 필터 예제:
- IP 주소와 관련된 트래픽: 호스트 10.0.0.23
- IP 주소 및 포트와 관련된 TCP 트래픽: tcp 및 호스트 10.0.0.23, 포트 443
- 특정 인터넷 주소에 대한 IP 하위 집합과 관련된 UDP 트래픽: udp 및 net 10.0.0.0/24 및 host 8.8.8.8
네트워크에 VLAN 및/또는 PPPoE가 있는 경우 필터가 작동하려면 해당 토글 스위치를 설정해야 합니다. 이전 스크린샷에서는 네트워크에 VLAN이 있습니다.
최대 캡처 파일 크기 (최대 500MB까지). 이 크기에 도달하면 캡처가 중지됩니다.
캡처 제한 시간(최대 600초). 이 시간이 경과하면 캡처가 중지됩니다. 그 전에 취소 버튼을 눌러 캡처를 중지할 수도 있습니다,
캡처는 최대 크기와 제한 시간(먼저 발생하는 시간)에 의해 제한됩니다. 그 이유는 트래픽 캡처가 성능에 영향을 미치기 때문에 시스템을 보호하기 위해서입니다.
시스템에 미치는 성능 영향을 줄이려면 필요에 맞는 가장 작은 크기와 기간을 사용하세요.
Once the capture is complete, a pcap file will be generated in the browser download folder. The file can be inspected using a traffic tools supporting the pcap format, for example wireshark.
로그
복잡한 문제를 디버깅하는 데 도움을 주기 위해 GUI는 두 가지 유형의 로그를 표시합니다:
- OS 로그 메시지. 관리->로그->시스템으로 이동합니다.
- 커널 로그 메시지( dmesg 명령의 출력). 관리->로그->커널로 이동합니다.
더 많은 로그 줄을 요청하고 로그 항목을 로컬 파일로 내보낼 수 있습니다.
시스템 사용자
BQN 시스템에는 두 가지 유형의 사용자가 있습니다:
- 관리자: 구성 변경 및 소프트웨어 설치를 포함하여 노드 기능에 제한 없이 액세스할 수 있습니다. 기본적으로 관리 프로필로 bqnadm이라는 사용자가 생성됩니다.
- 운영자: 데이터 시각화에만 액세스할 수 있습니다. 기본적으로 운영자 프로필로 bqnop이라는 사용자가 만들어집니다.
An administrator can create, delete or modify system users in Administration->Users.
소프트웨어 바이패스
일부 트래픽을 BQN에서 처리하지 않고 투명하게 통과하도록 할 수 있습니다. 이러한 트래픽은 네트워크 인터페이스 중 하나에서 캡처되어 동일한 wire 에 있는 피어 인터페이스로 투명하게 릴레이됩니다. 이렇게 하면 BQN 소프트웨어는 이러한 트래픽에 영향을 미치지 않습니다.
우회하도록 구성할 수 있는 트래픽의 종류는 다음과 같습니다:
- IP 트래픽 v4
- IP 트래픽 v6
- 특정 VLAN 태그가 있는 트래픽.
- VLAN 태그가 없는 트래픽(즉, 태그가 지정되지 않은 트래픽).
- 일부 IPv4 및/또는 IPv6 주소 또는 주소 범위.
일부 트래픽을 우회하려면 구성->최적화 설정으로 이동하여 해당 토글을 활성화하세요.
VLAN 및 IP 범위의 경우 값을 입력하고 +를 눌러 추가한 다음 설정을 적용합니다.
Take into account that bypassed traffic will not benefit from BQN features: it will not be optimized, no metrics will be recorded and no policies applied.
보안 설정
세션 시간 초과
A configurable timeout will disconnect a GUI session after a time of inactivity.
비활성 시간 제한을 활성화하려면 관리->일반 설정으로 이동하여 GUI 비활성 시간 제한에서 초 단위로 값을 설정하고 적용을 누릅니다.
비활성 시간 제한은 새 세션에 적용됩니다.
강력한 사용자 비밀번호
By default, when setting a user password, any value is valid. It is possible to strengthen the system security by forcing some minimum complexity to user passwords. To do so, go to Administration->General Settings and set the to On the switch Strict password and login security.
When the strict password switch is set to On, the following minimum password complexity is enforced (and password change rejected if not met):
- 8자 이상의 길이.
- At least one lowercase letter.
- 대문자 하나 이상.
- 숫자 한 자리 이상.
- 특수 문자 하나 이상.
- The username cannot be part of the password, either straight or in reverse form. For example, if user is bqnadm, passwords Bqnadm6? and Mdanqb6? are rejected.
또한 비밀번호는 pam_cracklib 단순성 테스트를 통과해야 합니다. 이 테스트는 다음과 같은 잘못된 비밀번호를 거부합니다:
- 사전 단어
- 팔린드롬. 예: Af16-61fA
- 동일한 연속 문자. 예: ...aaa...
- 너무 긴 단조로운 시퀀스. 예: ...123... 또는 ...abc...
- 이전 비밀번호와 차이가 5개 미만입니다.
또한 로그인 시도가 5회 연속 실패하면 5분 동안 계정이 차단됩니다. 서비스 거부 공격을 방지하기 위해 루트는 이 정책에서 제외됩니다.
관리 인터페이스 방화벽
To set up the management interface firewall, which will only apply to the management interface (not to the interfaces configured in wires) select on the lateral menu Configuration->Interfaces->ManagementFirewall. This will show the IP address ranges allowed to access the management interface. By default, no IP address ranges are configured, and all are allowed.
허용된 IP 주소 범위를 추가하려면 메뉴 아이콘을 클릭하고 IP 주소 범위 추가.... 를 누릅니다. 하나의 IP 주소 범위가 허용되면 방화벽이 활성화되고 구성된 IP 주소 범위에 속하지 않는 IP 주소에서 들어오는 모든 연결이 차단됩니다. 따라서 GUI에 액세스하는 IP 주소와 관리 IP 주소의 서브넷을 포함하는 IP 주소 범위를 포함시키는 것이 중요합니다(GUI는 제안 목록에 해당 IP 주소를 포함시킵니다). RADIUS/REST 클라이언트, 청구 시스템 및 NTP 서버와 같이 관리 인터페이스와 상호 작용하는 다른 IP도 포함해야 합니다.
To disable the firewall, remove all entries pressing the delete icon next to each entry, and once all entries are deleted, click once the Apply button. It is important not to press Apply before all entries have been deleted, because a premature Apply would keep the firewall active and it may prevent you from accessing the server, if the entry covering your IP is not present.
운영자에게사용자 서비스 정보 숨기기
운영자 프로필이 있는 사용자에게는 다음 정보가 표시되지 않도록 시스템을 구성할 수 있습니다:
- 사용자 대시보드에서 DPI 서비스 세부 정보를 확인할 수 있습니다.
- 사용자 대시보드의 활성 흐름 테이블에서 도메인 열을 확인합니다.
- 통계->DPI 서비스 분석->서비스별 시간당 볼륨에서 IP/사용자 ID 필터를 선택합니다.
- 통계->DPI 서비스 분석->서비스별 총 볼륨에서 IP/사용자 ID 필터를 선택합니다.
해당 정보에 대한 액세스를 비활성화하려면 관리자 권한으로 관리->일반 설정으로 이동하여 운영자 프로필에 대해 사용자 에 따라 스위치 DPI를 비활성화하세요.
감사 로그
시스템은 시스템에서 수행된 가장 관련성이 높은 작업의 레지스터와 함께 감사 로그를 유지합니다. 파일은 /opt/bqn/var/audit에 있으며 루트 사용자만 읽을 수 있습니다.
The current audit file is called audit and old audit files will be compressed with gzip and named with the Unix epoch time of rotation (e.g. audit-1688636727.gz). Old files are kept for 182 days.
각 파일 행은 다음 필드가 있는 감사 항목입니다:
- Time: Date and time of the event, in format YYYY-mm-ddTHH:MM:SS+UTC-Offset.
- Type: Type of action: access, config, software, system, users.
- Author: Name of the system user performing the action, in the cases where it is available.
- 설명: 작업 설명입니다.
등록된 작업 중 일부는 다음과 같습니다:
- 시스템에 액세스합니다.
- 생성/삭제된 사용자.
- 사용자 비밀번호 수정.
- 구성이 변경됩니다.
- 소프트웨어 업데이트.
- 시스템 재부팅 또는 종료.
- 현지 시간/시간대 변경.
시스템 로그를 syslog 서버로 보내기
시스템 로그를 외부 syslog 서버로 전송하도록 BQN을 구성할 수 있습니다. 시스로그 서버는 BSD 시스로그 프로토콜(IETF RFC 3164) 또는 시스로그 프로토콜(IETF RFC 5454)을 지원해야 합니다.
설정을 수행하려면 SSH를 통해 루트로 로그인하고 다음 단계를 따르세요:
변경 사항이 영구적으로 적용되도록 다음 디렉터리를 만듭니다:
원본 구성 파일을 해당 디렉터리에 복사합니다:
구성 파일을 편집합니다:
BSD syslog 프로토콜(IETF RFC 3164)을 사용하는 경우 이 줄을 구성 파일에 추가합니다:
server-IP를 syslog 서버 IP 주소로, server-port를 해당 포트(예: 514)로 바꿉니다.
필요한 형식은 시스로그 프로토콜(IETF RFC 5454)입니다:
시스템을 재부팅합니다:
이제 BQN 시스템 로그가 /var/log/messages에 있는 syslog 서버로 전송되어야 합니다.
나중에 구성 파일을 변경하는 경우, 변경 사항을 적용하려면 rsyslog 서비스를 다시 시작해야 합니다:
서비스 상태를 요청하여 서비스가 정상인지 확인하세요:
TLS를 사용한 구성
syslog 서버와의 통신을 암호화하려면 BQN에 linux-R3.0.13-20231130 이상의 패키지가 필요합니다. 서버 인증 기관 인증서를 BQN 서버 rsyslog 디렉터리로 전송합니다:
구성 파일을 편집합니다:
작업 줄 앞에 다음 줄을 추가합니다(선택한 포트는 일반적으로 6514이므로 작업 줄에서 검토하세요) :
변경 사항을 적용하려면 rsyslog 서비스를 다시 시작합니다:
로렘 입섬 도르 시트 아멧, 콘섹테투르 아디피싱 엘리트. 에로스 엘리멘툼 트리스티크에 서스펜디스 바리우스 에님. 듀이스 커서스, 마이 퀴스 비베라 오르나레, 에로스 도르 인터둠 널라, 우트 코모도 디암 리베로 비타 에랏. 아이네안 포시 부스 니브 et 저주 커서스 아이디 루트룸 로렘 임페디트. Nunc ut sem vitae risus tristique posuere.
로렘 입섬 도르 시트 아멧, 콘섹테투르 아디피싱 엘리트. 에로스 엘리멘툼 트리스티크에 서스펜디스 바리우스 에님. 듀이스 커서스, 마이 퀴스 비베라 오르나레, 에로스 도르 인터둠 널라, 우트 코모도 디암 리베로 비타 에랏. 아이네안 포시 부스 니브 et 저주 커서스 아이디 루트룸 로렘 임페디트. Nunc ut sem vitae risus tristique posuere.
Lorem ipsum dolor sit amet, consectetur adipiscing elit. Suspendisse varius enim in eros elementum tristique. Duis cursus, mi quis viverra ornare, eros dolor interdum nulla, ut commodo diam libero vitae erat. Aenean faucibus nibh et justo cursus id rutrum lorem imperdiet. Nunc ut sem vitae risus tristique posuere.